В началото на този месец, специалистите по информационна защита от Talos Security се
натъкнаха на сериозна и широкомащабна кампания, доставяща зловредни реклами към множество сайтове - някои от които доста популярни и притежаващи добра репутация.Talos Security Intelligence and Research Group е специализирана изследователска група по информационна сигурност в рамките на Cisco, като освен разработка и анализ за компанията, отделът активно подпомага и проекти. като Snort.org, ClamAV, SenderBase.org и SpamCop. Доставянето на онлайн реклама, която води до свалянето на нежелан софтуер и компрометиране на системите чрез пренасочване към страници, на които е разположен зловреден код е известна още в специализираните среди като "малвъртайзинг" (malvertizing, от англ.:комбинация от думите malware и advertizing). Настоящата малвъртайзинг мрежа, кръстена по имената на героите от анимационното филмче South Park Кайл и Стан, заради използване на имената им при генерирането на домейните (като stan.mxp2099.com и kyle.mxp2038.com), е виновна за доставката на огромно количество зловреден код и нежелан софтуер, като
последните разкрития на специалистите от Cisco е, че провеждащите кампанията са виновни за компрометирането и създаването на 6491 фалшиви домейни, към които са били осъществени над 30 000 връзки, което означава, че числото на жертвите на "Стан и Кайл" може да е огромен. Сред сайтовете, на чийто страници са били доставяни зловредните рекламни съобщения, личат имената на YouTube, Amazon, ads.yahoo.com и др. Основният метод за атака при отваряне на подобни онлайн рекламни съобщения е бил чрез пренасочване към странични сайтове, където потребителят е бил подканян да свали и инсталира съмнителен софтуер. Освен това, специалистите са открили и други методи, посредством които мошениците са привличали жертвите си, като изготвянето на страници и доставянето на софтуер, имитиращ легални приложения и софтуер, като например използването на winrar.com, при чието посещение, посетилият го е бил подмамван да свали и инсталира софтуер, който трябва да е известния инструмент за архивация. В случая обаче жертвата сваляли и инсталирала малуер. Настоящите разкрития дават основание на специалистите да предположат, че засегнати от атаката са значително повече от първоначално установеното в началото на септември, като произходът на атаката се свързва с испаноезични агенти, което се потвърждава от произхода на IP адресите на контролните сървъри на някои от заплахите, Whois данните за разположението на използваните домейни и част от кода, използван за атаката.На сцената на онлайн рекламата има едва няколко крупни играчи. Съдейки по мащабите на операцията, специалистите предполагат, че авторите на атаките е възможно да са компрометирали системи, свързани с някои от големите мрежи за доставка на онлайн реклама, но все още не е сигурно за начина, по който са го направили. За голяма част от доставяните зловредни рекламни съобщения са използвани инфраструктурата на мрежата на Amazon Web Services (AWS), както и тази на голям испански интернет доставчик.
